密钥的不同的密钥重新加密用于通过空中传递。然后受信权力可以使用其私有密钥解密该信息。为了受信权力验证数据确实来自主题车辆的数据权力,数据权力可以通过计算消息的校验和(checksum)并采用用户的私有密钥加密该校验和以对包含数据的消息或消息的一部分数字地签名。然后受信权力可以独立地计算数据的校验和,并且通过利用数据权力的公共密钥,受信权力可以解密由数据权力发送的校验和。如果由受信权力计算的校验和匹配由数据权力提供的校验和,那么受信权力知道该消息是由数据权力发送的(因为只有数据权力的公共密钥可以解密该校验和)并且该消息没有被更改(因为该校验和必须匹配)。
[0029]在一些示例中,受信权力和数据权力可以利用证书权力和数字证书来交换加密密钥。在一些示例中,这可以通过利用网络连接被完成,诸如由长距离无线链路提供的网络连接。例如,在数据权力位于其中的车辆上的牌照可以充当统一资源标识符(URI)或其部分。受信权力可以使用网络连接将该URI发送到证书权力以获取该车辆的公共密钥用于验证数据的数字签名并用于加密到该数据权力的其它通信。
[0030]数据权力还可以利用证书权力来获取受信权力的公共密钥。例如,数据权力可以利用由受信权力提供的UR1、被预安装在数据权力上的URI(并且其可以是可更新的)、受信权力的牌照号等以请求受信权力的公共密钥。证书权力可以维持对应于受信公共权力的URI列表。如果入侵者模仿受信权力的URI,他们将不能够解密来自数据权力的通信,除非他们也偷取了受信权力的私有密钥。另外,未被辨认为受信权力的URI将不从证书权力返回成功的公共密钥。因此,如果成功地解密来自受信权力的消息,那么数据权力可以具有受信权力是合法的受信权力(与未授权的偷听者相反)的可信度级别。
[0031]除了当被存储时被保护和在运送中被保护,数据可以经受严格的访问和使用控制。例如,可以利用基于各种许可的检查来控制初始数据访问,并且在发送数据后可以利用数字权限管理(DRM)来控制数据。例如,用户可以设置控制访问并针对受信权力给予特权的复杂的规则。这些规则可以基于请求的访问级别指定数据权力将采取什么行动。用户可以设置规则以便可以允许、拒绝针对某些数据类型的所有请求,或在请求时系统可以提示用户。可以通过允许用户指定关于受信权力可以如何使用信息的DRM控制来引入进一步的颗粒度控制。示例访问许可可以包括呈现权限、存储权限、将数据重传到其它系统的权限等。这些许可可以是可添加的(addi ti ve)—例如,存储的权限可以包括呈现的权限,重传的权限可以包括存储和呈现。在其它示例中,这些权限可以是独立的一即,可以针对每个被提议的使用需要明确的准予。示例规则可以采取以下形式:
if the trusted authority asks for 〈data type> with rights to 〈viewstore !retransmit | modify〉then〈grant | deny | prompt>(如果受信权力请求〈数据类型〉具有〈查看I存储I重传I修改〉权力,那么〈准予I拒绝I提示>)
每个车辆都可以应用这些规则并且可以由车辆的所有者设置这些规则。可以不管谁在汽车中或谁正在驾驶来应用这些规则。在其它示例中,一组这些规则可以形成配置文件(profile),并且车辆的每个驾驶员都可以具有配置文件。在这些示例中,车辆可以通过与在该驾驶员的驾驶员执照中的NFC芯片通信、通过用户输入或其它识别手段来识别驾驶员。数据权力可以利用驾驶员的配置文件来确定访问规则和条件。在其它示例中,其它占有者可以创建与他们个人数据(例如,来自他们的驾驶员执照的身份)有关的配置文件或规则。
[0032]使用DRM可以减轻用户隐私担心,诸如信息可能被用于在法庭中对抗他们的担心。另外,可以利用DRM来防止在记录数据的情况中对数据的修改。如已经声明的那样,数据权力和受信权力可以基于用户许可商议针对数据的对数据权力准予的访问级别。
[0033]图4是根据本公开的一些示例示出数据从数据权力传递到受信权力系统的消息序列图。在操作4005,受信权力系统可以建立与数据权力的通信连接。例如,可以发送在受信权力系统和数据权力之间建立通信会话的各种蓝牙或W1-Fi消息传送。在其它示例中,受信权力系统可以通过网络联系数据权力。在这些示例中,可以利用针对车辆存储数据权力的当前IP地址记录的位置寄存器。例如,数据权力可以具有作为长距离无线链路的结果的与其相关联的互联网协议(IP)地址。数据权力可以周期性地向位置寄存器报告唯一识别符(例如,车辆识别号(VIN)、牌照号、URI等)和其当前IP地址。然后受信权力系统可以联系位置寄存器并提供该唯一识别符。然后位置寄存器可以提供IP地址,然后受信权力系统可以使用该IP地址来联系数据权力。在一些示例中,数据权力可以是可以存储由各种车辆报告的数据的中央服务器或向中央服务器报告。为了将感兴趣的车辆识别到中央服务器,受信权力系统可以利用车辆的牌照号或其它识别符,诸如车辆的嵌入RFID标签、车辆的车辆识别号(VIN)等。
[0034]一旦设置了通信会话,在操作4010,受信权力系统就可以将发现消息发送到数据权力以确定数据权力是否可用于发送数据到受信权力系统。可以在任何连接和必须的同步消息传送后发送该发现消息以便利用诸如蓝牙或W1-Fi的无线通信协议建立任何连接。在操作4020,数据权力可以采用数据权力是否可用于发送数据的指示来响应。在一些示例中,可用性响应可以指示数据的可用类型(例如,哪个传感器数据是可用的)。然后受信权力系统可以发送访问请求4030,其可以请求对由数据权力存储或通过数据权力可获取的一个或多个数据项目的访问。访问请求4030可以指定对数据项目的所请求的访问级别(例如,显示、存储、重传等)。在一些示例中,访问请求消息可以包含受信权力系统的URI。然后数据权力可以利用受信权力系统的URI来获取包含受信权力系统的公共密钥的受信权力系统的数字证书。在一些示例中,可以通过无线链路(例如,蜂窝链路)获取数字证书。
[0035]证书权力可以提供对应于数据权力和受信权力系统的公共密钥。这可以帮助数据权力验证受信权力的身份并且反之亦然。在一些示例中,可以存在针对公共权力保留的单独类别的URI。可以使这些URI仅对受信权力而无他人可用。数据权力(例如,车辆系统)可以提交请求到证书权力,所述请求指示这是由受信权力系统的请求。证书权力可以检查以确保所提供的URI是针对职权车辆发行的URI之一。如果URI是有效的,那么证书权力可以返回数字证书。如果URI是无效的,那么可以返回错误。如果返回了错误,那么数据权力可以不响应于来自受信权力系统的任何更多消息,直到给出了有效URI。由于返回的公共密钥是合法的受信权力公共密钥,并且只要保护了受信权力私有密钥,那么只有合法的受信权力可以访问数据因为只有受信权力私有密钥可以解密采用受信权力的公共密钥加密的信息。
[0036]在一些示例中,数据权力还可以在对证书权力的数字证书请求中包括数据权力的全球定位系统(GPS)坐标。然后证书权力可以具有地理围栏(geofence),其中允许特定的受信权力URI操作(例如,受信权力的管辖范围(jurisdict1n))。如果URI是有效的、但是不在正确的地理围栏中,那么证书权力可以拒绝请求并且数据权力可以无视来自受信权力的请求直到提交了针对该位置的有效URI。这可以防止受信权力系统在他们的管辖范围限制之外操作。例如,在加利福尼亚中操作的纽约市警官将不能够在加利福尼亚中访问来自加利福尼亚驾驶员的数据权力。
[0037]数据权力可以采用访问响应4040来响应,其包括数据权力愿意针对数据项目准予的访问级别(DRM) ο该响应还可以包括数据权力的URI,其可以使得受信权力系统能够获取数字证书以加密被发送到数据权力的任何数据项目。可以采用如从证书权力获取的受信权力系统的公共密钥加密访问响应。只有对应于用于加密消息的公共密钥的私有密钥的实际拥有者将能够查看消息内容。由于受信权力的私有密钥应仅在授权系统的手中,那些授权系统将是能够进一步解密来自数据权力的消息的仅有的系统。以数据权力利用证书权力相同的方式,受信权力可以利用证书权力以便保证其正与针对正确的车辆有效的数据权力通信。例如,牌照号、车辆识别号、或车辆的其它识别可以被用于获取数据权力的私有密钥。由于公共密钥捆绑于物理识别符,受信权力可以具有所提供的数据是合法的一定可信度。
[0038]如果受信权力系统同意所提供的访问级别,那么然后受信权力系统可以使用请求消息4050请求到数据项目的访问。可以采用数据权力的公共密钥加密请求消息。只有数据权力可以通过采用数据权力的私有密钥解密该消息来查看该消息。在一些示例中,还可以采用受信权力的私有密钥对消息数字地签名。如果数据权力能够使用受信权力系统的公共密钥解密该数字签名,那么然后数据权力可以具有受信权力系统发送特定消息的可信度。
[0039]请求消息4050可以请求数据项目一次(例如,状态(status)),或者可以请求数据项目流(例如,视频流、更新以反映当前值的传感器数据流等)。如果适当地鉴别了请求消息,那么在4060数据权力可以加密数据项目并开始将它们发送(在一些示例中,将它们流式传输)到受信权力系统。
[0040]在一些示例中,数据权力系统可以在批准来自受信权力系统的请求之前从车辆占有者请求许可。如已经声明的那样,数据权力系统可以允许车辆所有者设置配置文件,其描述所收集的特定数据项目并给所有者允许访问、允许受限访问、提示占有者或拒绝访问的选项。
[0041 ]在一些示例中,在发送数据流4060之前,数据权力可以收集传感器数据。例如,数据权力可以询问在驾驶员的执照、保险卡等中的短距离无线传感器。数据权力还可以询问汽车中的其它传感器、打开摄像头、打开录音机等。
[0042]现在转到图5,示出了由受信权力计算系统执行的从数据权力中检索数据的方法5000。在操作5010,受信权力计算系统可以鉴别操作者。例如,受信权力系统可以请求用户凭证以确保只有授权用户将具有到数据和受信权力计算系统的能力的访问。在一些示例中,用户凭证可以包括用户名/ 口令、生物测定数据、挑战问题和响应、物理访问卡、或任何其它鉴别方法。
[0043]一旦鉴别了受信权力系统的用户,在操作5015,受信权力计算系统的用户就可以连接到数据权力系统。例如,数据权力可以经由蓝牙或某其它短距离无线协议发现并连接到数据权力。在其它示例中,受信权力可以发现数据权力的IP地址并通过网络连接。例如,受信权力可以联系位置寄存器以获取数据权力的IP地址。然后受信权力可以使用网络连接联系数据权力。例如,受信权力和数据权力两者都可以通过单独的长距离无线连接被连接到网络(例如,互联网)。一旦将受信权力连接到数据权力,受信权力可以在操作5020发起数据权力发现过程以确保数据权力是有效的并且正在